Аномалии csrss.exe, это руткит?

Я вижу странную аномалию в некоторых системах, которые я поддерживаю.

GMER помечает поток cdd.dll в csrss.exe, и когда я запускаю Process Explorer с правами повышенного уровня администратора, я:

  1. невозможно просмотреть какие-либо загруженные библиотеки DLL в процессе csrss.exe
  2. невозможно просмотреть фактические начальные адреса потоков (вместо winsrv.DLL и CSRSRV.dll я вижу либо 0x0, либо!RtlUserThreadStart
  3. невозможно просмотреть какой-либо стек потока csrss.exe
  4. невозможно приостановить или убить какой-либо поток в csrss.exe
  5. Строки в памяти показывают "Ошибка открытия процесса"

Согласно 6-му изданию Windows Internals, это то, что можно увидеть в Process Explorer при попытке просмотреть потоки "защищенного процесса"...

... Process Explorer не может показать начальный адрес потока Win32 и вместо этого отображает стандартную оболочку запуска потока внутри Ntdll.dll. Если вы попытаетесь нажать кнопку Stack, вы получите ошибку, потому что Process Explorer должен прочитать виртуальную память внутри защищенного процесса, чего он не может сделать.

Тем не менее, csrss.exe не является защищенным процессом. Кроме того, даже если бы это было так, обычно можно приостановить "защищенные процессы", что в данном случае невозможно.

Для справки, это то, что обычно выглядит в Process Explorer... взято из недавно установленной системы.

введите описание здесь

Никакой другой инструмент, который я запускал, не обнаружил ничего вредоносного. Однако Process Hacker может получить доступ к потокам, и они выглядят так, как я ожидал увидеть...

введите описание здесь

2 вещи, которые я знаю, я думаю:

  1. Это ненормальное поведение (большинство других систем, на которые я смотрю, дают Elevated Admin полный доступ к потокам, строкам и т. Д. Csrss.exe)
  2. Это похоже на руткит-подобное скрытие. Согласно этой цитате из книги "Поваренная книга аналитика вредоносных программ":

Если руткит находит надежный способ скрыть или предотвратить доступ к csrss.exe, не вызывая нестабильность системы, это может вызвать проблему. На самом деле, автор CsrWalker обнаружил, что некоторые хакеры пытались предотвратить работу CsrWalker, перехватывая ZwOpenProcess и не давая инструменту обнаружения читать память csrss.exe.

Может кто-нибудь объяснить, почему администратор с PE с повышенными правами будет видеть эти аномалии, кроме неизвестного руткита?

2 ответа

CSRSS - это стандартная служба Microsoft: https://en.wikipedia.org/wiki/Client/Server_Runtime_Subsystem

По сути, это промежуточная функция, которая проходит между пространством пользователя и пространством ядра.

Имея полномочия на уровне ядра, вы не можете получить доступ к его карте памяти из обычной программы пользовательского пространства. Это механизм безопасности, который не позволяет вредоносным программам использовать карту памяти программ с доступом к пространству ядра, например csrss, в качестве средства сканирования памяти пространства ядра в поисках путей повышения полномочий.

Существует распространенная ложная информация о том, что это вирус или троян. Этот обман используется многими недобросовестными сайтами, которые пытаются заставить вас загрузить трояны, шпионское или рекламное ПО в попытке удалить его. НИКОГДА не загружайте системные сканеры или любые исполняемые файлы в этом отношении с ненадежного веб-сайта.

Для вашей информации (как упоминание здесь):

csrss.exe - это процесс, который зарегистрирован как троян. Этот троян позволяет злоумышленникам получить доступ к вашему компьютеру из удаленных мест, украсть пароли, интернет-банкинг и личные данные. Этот процесс представляет угрозу безопасности и должен быть удален из вашей системы. Мы настоятельно рекомендуем вам запустить БЕСПЛАТНОЕ сканирование реестра, чтобы выявить ошибки, связанные с csrss.exe.

Другие вопросы по тегам